1 IMPLEMENTASI INTRUSION DETECTION AND PREVENTION SYSTEM DI PT. TELEKOMUNIKASI INDONESIA Sapta Rizki Fauzi 1 , Ir. Nina Hendrarini 2 , Umar Ali Ahmad, ST. 3 Program Studi Teknik Komputer Politeknik Telkom Bandung 2010 Jl. Telekomunikasi Dayeuhkolot Bandung 40257 ABSTRAK Keamanan merupakan hal yang sangat penting dalam jaringan komputer, dimana satu dengan lain dan beberapa device terhubung dalam satu kesatuan saling berinteraksi dan bertukaran data hingga tanpa batas, beberapa faktor mempengaruhi mengapa begitu pentingnya keamanan suatu jaringan diantaranya, Availability Ketersediaan dimana data atau layanan yang dapat dengan mudah dipantau/digunakan oleh pengguna dari sebuah layanan, Confidentiality (kerahasiaan), Integrity (integritas). Terlebih di jaringan sebuah perusahaan besar seperti PT. Telekomunikasi Indonesia dengan. Pengoperasian dan pemeliharaan jaringan dengan baik akan menentukan berhasil tidaknya, report-report yang dikirimkan oleh sentral yang masuk pada bagian NMS untuk diolah atau diproses menjadi informasi-informasi yang dapat di tampilkan agar dapat mengambil keputusan secara dini dalam mengendalikan traffic jaringan. Dengan menghadirkan IDP (Intrusion Detection and Prevention system) harapannya bisa menjadi solusi keamanan, IDS merupakan sistem yang lebih dinamik dari firewall, karena IDS mampu mendeteksi (mengetahui) adanya penyusup (baik yang dilakukan oleh seseorang yang ingin mendapatkan akses ilegal ataupun user yang mempunyai akses, tetapi melampaui wewenangnya). dan dapat memberitahu administrator melalui e-mail maupun melalui mekanisme lain seperti melalui pager. Dengan demikian IDS merupakan komponen yang dapat melengkapi (membuat menjadi sempurna) sistem pengamanan pada suatu jaringan. 1 PENDAHULUAN 1.1 Latar Belakang PT. Media Telekomunikasi Mandiri (MTM) merupakan perusahaan penyedia jasa integrator jaringan yang fokus dalam memberikan solusi dan konsultasi kepada client dalam hal transformasi jaringan IT dan telekomunikasi dari yang berbasis legacy / tradisional ke dalam jaringan yang berbasis teknologi masa depan yaitu Internet Protocol (IP). Struktur Organisasi: Gambar 1.1 Struktur Organisasi PT. Media Telekomunikasi Mandiri Pada kesempatan kali ini PT. Media Telekomunikasi Mandiri, mendapat kepercayaan mengerjakan proyek salah satu Provider Telekomunikasi Indonesia, PT. Telekomunikasi Indonesia (TELKOM) untuk meningkatkan performansi dan keamanan jaringan dalam hal Pengadaan Perangkat Instrusion Detection and Prevention (IDP). 1.2 Perumusan Masalah Pengoperasian dan pemeliharaan jaringan dengan baik akan menentukan berhasil tidaknya, report-report yang dikirimkan oleh sentral yang masuk pada bagian NMS untuk diolah atau diproses menjadi informasi-informasi yang dapat di tampilkan agar dapat mengambil keputusan secara dini dalam mengendalikan traffic. Dalam laporan akhir ini akan di bahas bagaimana proses instalasi Intrusion Detection and Prevention (IDP) system untuk keamanan jaringan dengan terlebih dahulu mempelajari mekanisme kerjanya. 1.3 Tujuan Tujuan yang dapat diperoleh dari penerapan IDP (Intrusion Detection and Prevention) ini adalah: 1. Membangun infrastruktur dan layanan keamanan jaringan dengan perangkat Juniper 800. 2. Mengupayakan agar alur data dan sistem informasi perusahaan berjalan sebagaimana mestinya tanpa adanya ganguan. 1.4 Batasan Masalah Untuk menghindari meluasnya materi pembahasan tugas akhir ini, maka penulis membatasi permasalahan hanya mencakup hal-hal berikut : a. Implementasi IDP menggunakan perangkat Juniper IDP-800. b. Tidak membahas jenis-jenis serangan yang mungkin terjadi.
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
1
IMPLEMENTASI INTRUSION DETECTION AND PREVENTION SYSTEM DI PT. TELEKOMUNIKASI INDONESIA
Sapta Rizki Fauzi1, Ir. Nina Hendrarini
2, Umar Ali Ahmad, ST.
3
Program Studi Teknik Komputer Politeknik Telkom
Bandung 2010
Jl. Telekomunikasi Dayeuhkolot Bandung 40257
ABSTRAK
Keamanan merupakan hal yang sangat penting dalam jaringan komputer, dimana satu dengan lain dan beberapa device terhubung dalam satu kesatuan saling berinteraksi dan bertukaran data hingga tanpa batas, beberapa faktor mempengaruhi mengapa begitu pentingnya keamanan suatu jaringan diantaranya, Availability Ketersediaan dimana data atau layanan yang dapat dengan mudah dipantau/digunakan oleh pengguna dari sebuah layanan, Confidentiality (kerahasiaan), Integrity (integritas). Terlebih di jaringan sebuah perusahaan besar seperti PT. Telekomunikasi Indonesia dengan. Pengoperasian dan pemeliharaan jaringan dengan baik akan menentukan berhasil tidaknya, report-report yang dikirimkan oleh sentral yang masuk pada bagian NMS untuk diolah atau diproses menjadi informasi-informasi yang dapat di tampilkan agar dapat mengambil keputusan secara dini dalam mengendalikan traffic jaringan. Dengan menghadirkan IDP (Intrusion Detection and Prevention system) harapannya bisa menjadi solusi keamanan, IDS merupakan sistem yang lebih dinamik dari firewall, karena IDS mampu mendeteksi (mengetahui) adanya penyusup (baik yang dilakukan oleh seseorang yang ingin mendapatkan akses ilegal ataupun user yang mempunyai akses, tetapi melampaui wewenangnya). dan dapat memberitahu administrator melalui e-mail maupun melalui mekanisme lain seperti melalui pager. Dengan demikian IDS merupakan komponen yang dapat melengkapi (membuat menjadi sempurna) sistem pengamanan pada suatu jaringan.
1 PENDAHULUAN 1.1 Latar Belakang
PT. Media Telekomunikasi Mandiri (MTM) merupakan perusahaan penyedia jasa integrator jaringan yang fokus dalam memberikan solusi dan konsultasi kepada client dalam hal transformasi jaringan IT dan telekomunikasi dari yang berbasis legacy / tradisional ke dalam jaringan yang berbasis teknologi masa depan yaitu Internet Protocol (IP). Struktur Organisasi:
Gambar 1.1 Struktur Organisasi PT. Media Telekomunikasi
Mandiri Pada kesempatan kali ini PT. Media Telekomunikasi
Mandiri, mendapat kepercayaan mengerjakan proyek salah satu Provider Telekomunikasi Indonesia, PT. Telekomunikasi Indonesia (TELKOM) untuk meningkatkan performansi dan keamanan jaringan dalam hal Pengadaan Perangkat Instrusion Detection and Prevention (IDP).
1.2 Perumusan Masalah Pengoperasian dan pemeliharaan jaringan
dengan baik akan menentukan berhasil tidaknya, report-report yang dikirimkan oleh sentral yang masuk pada bagian NMS untuk diolah atau diproses menjadi informasi-informasi yang dapat di tampilkan agar dapat mengambil keputusan secara dini dalam mengendalikan traffic.
Dalam laporan akhir ini akan di bahas bagaimana proses instalasi Intrusion Detection and Prevention (IDP) system untuk keamanan jaringan dengan terlebih dahulu mempelajari mekanisme kerjanya.
1.3 Tujuan
Tujuan yang dapat diperoleh dari penerapan IDP (Intrusion Detection and Prevention) ini adalah:
1. Membangun infrastruktur dan layanan keamanan jaringan dengan perangkat Juniper 800.
2. Mengupayakan agar alur data dan sistem informasi perusahaan berjalan sebagaimana mestinya tanpa adanya ganguan.
1.4 Batasan Masalah Untuk menghindari meluasnya materi
pembahasan tugas akhir ini, maka penulis membatasi permasalahan hanya mencakup hal-hal berikut :
a. Implementasi IDP menggunakan perangkat Juniper IDP-800.
b. Tidak membahas jenis-jenis serangan yang mungkin terjadi.
2
c. Percobaan serangan terhadap jaringan tidak dilakukan.
d. Rules security identifikasi filtering di tentukan oleh PT. Telkom.
1.5 Metode Penelitian a. Studi literature
Studi literature ini dimaksudkan untuk mempelajari konsep dan teori-teori yang dapat mendukung proses perancangan sistem
b. Perancangan dan implementasi Merancang dan mengimplementasikan dari konsep dan teori yang telah diperoleh. Melakukan pengujian terhadap hasil perancangan yang telah dikerjakan.
c. Pengujian Implementasi Menguji hasil implementasi dari Intrusion Detection and Prevention (IDP)
1.6 Sistematika Penulisan Penulisan tugas akhir ini akan dibagi beberapa bagian sebagai berikut : Bab I Pendahuluan
Berisi latar belakang, perumusan masalah, batasan masalah, tujuan pembahasan, metodologi penyelesaian masalah dan sistematika penulisan.
Bab II Landasan Teori Berisi tentang dasar-dasar teori yang diperlukan serta literatur-literatur yang mendukung dalam pembangunan sebuah Intrusion Detection and Prevention (IDP)
Bab III Analisa Kebutuhan dan desain Berisi tentang pembahasan perancangan Intrusion Detection and Prevention (IDP), bagan jaringan, flowcar.
Bab IV Implementasi dan Pengujian Melakukan implementasi, konfigurasi untuk kemudian dilanjutkan dengan pengujian
Bab V Kesimpulan Dan Saran Berisi tentang kesimpulan akhir dan saran pengembangan tugas akhir
2 DASAR TEORI 2.1 Jenis - Jenis Topologi Jaringan
2.1.1 Topologi Point to Point Jaringan titik ke titik merupakan jaringan kerja yang paling sederhana tetapi dapat digunakan secara luas. Pada jenis topologi ini, semua simpul mempunyai kedudukan yang setingkat, sehingga simpul manapun dapat memulai dan mengendalikan hubungan dalam jaringan. Data dikirim dari satu simpul langsung kesimpul lainnya sebagai penerima.
Gambar 2.1 Topologi point to point
2.1.2 Topologi Bus
Pada topologi bus semua terminal terhubung ke jalur komuniksi. Informasi yang dikirim akan melewati semua terminal pada jalur tersebut.
Gambar 2.2. Topologi Bus
Topologi ini tergolong paling
sederhana, dimana setiap terminal yang dilengkapi dengan sebuah NIC, dihubungkan dengan sebuah kabel tunggal coaxial. Jumlah terminal dapat ditambah dan dikurangi secara fleksibel. Namun, jumlah terminal hendaknya dibatasi, karena apabila terminal terhubung sangat banyak, maka kinerja pada jaringan ini akan turun drastis. Kekurangan lain dari topologi ini adalah bila ada terminal yang mati , maka operasional jaringan akan terganggu.
2.1.3 Topologi Star
Topologi ini merupakan suatu konfigurasi jaringan dimana terdapat sebuah titik yang merupakan pusat hubungan dari semua grup atau system. Semua transmisi dari sebuah system ke system yang lain berjalan melalui titik pusat tersebut.
3
Gambar 2.3. Topologi Star
Pada saat membangun hubungan dengan topologi star ini yang perlu di perhatikan yaitu harus dihindari terjadinya percabangan pada suatu terminal, karena masing-masing segmen harus dihubungkan secara linear tanpa percabangan.
2.1.4 Topologi Ring
Topologi ini merupakan suatu konfigurasi jaringan dimana pengkabelanya berbentuk loop dengan hubungan point-to-point sederhana yang terhubung ke setiap system dan membentuk sebuah ring.
Gambar 2.4. Topologi Ring
Setiap terminal dalam jaringan computer lokal saling tergantung sehingga jika terjadi kerusakan pada satu terminal maka seluruh jaringan akan terganggu. Topologi ini sangat tepat untuk perusahaan, unit atau departemen yang sangat tinggi lalu lintas transmisi data dan informasinya.
2.1.5 Topologi Tree
Tidak semua simpul mempunyai kedudukan yang sama. Simpul yang kedudukannya lebih tinggi “menguasai” simpul dibawahnya. Jaringan sangat tergantung pada simpul tertentu terutama padaa simpul yang kedudukannya lebih tinggi. Karena itu juga dapat disebut sebagai
“Hierarchial Topology”, sedang yang lainnya kedudukan semua simpul sama disebut sebagai “Peer Topology”.
Gambar 2.5. Topologi Tree
2.2 IDS (Intrusion Detection System)
Intrusion Detection System (IDS) merupakan sistem yang lebih dinamik dari firewall, karena IDS mampu mendeteksi (mengetahui) adanya penyusup (baik yang dilakukan oleh seseorang yang ingin mendapatkan akses ilegal ataupun user yang mempunyai akses, tetapi melampaui wewenangnya). dan dapat memberitahu administrator melalui e-mail maupun melalui mekanisme lain seperti melalui pager. Dengan demikian IDS merupakan komponen yang dapat melengkapi (membuat menjadi sempurna) sistem pengamanan pada suatu jaringan. Dengan demikian keberadaan IDS pada sistem proteksi jaringan menjadi penting dan perlu untuk diperhatikan, hal ini didasari oleh beberapa pertimbangan sebagai berikut:
1. Jika suatu gangguan cepat terdeteksi, maka penyusup dapat diidentifikasi dan disingkirkan dari sistem sebelum kerusakan pada bagian tertentu terjadi, atau data tertentu di compromise. Dengan demikian semakin sedikit jumlah kerusakan dan pemulihan sistem yang jauh lebih cepat dapat dicapai.
2. Intrusion Detection yang efektif dapat melayani seperti sebuah alat penangkis (sehingga dapat mencegah gangguan).
3. Intrusion Detection mampu mengumpulkan informasi tentang teknik-teknik intrusion yang dapat digunakan untuk memperkuat fasilitas pencegahan gangguan (intrution prevention).
Jadi IDS membantu sistem informasi untuk menghadapi serangan-serangan. IDS bekerja dengan mengumpulkan informasi dari berbagai sistem dan source jaringan (network sources) dan kemudian menganalisa informasi untuk mendeteksi masalah keamanan yang mungkin terjadi. Intrusion Detection dapat melakukan hal sebagai berikut:
4
1. Memantau dan menganalisa kegiatan sistem dan user.
2. Meng-audit konfigurasi dan kelemahan (vulnerabilities) system
3. Melakukan penilaian terhadap integritas dari file data dan sistem yang penting
4. Menganalisa secara statistik pola aktifitas yang berdasarkan pada pola-pola yang telah ada dalam librari untuk mengetahui/mengenali serangan (attack).
Meng-audit sistem operasi Ada berbagai cara untuk memantau adanya
intruder. Ada yang sifatnya aktif dan pasif. IDS cara yang pasif misalnya dengan memantau logfile. Contoh software IDS antara lain : 1. Autobuse, mendeteksi probing dengan
memonitor logfile. 2. Courtney dan Portsentry, mendeteksi probing
(port scanning) dengan memonitor paket yang lalu lalang. Portsentry bahkan dapat memasukkan IP penyerang dalam filter tepwrapper (langsung dimasukkan ke dalam berkas etc/hosts.deny
3. Shadow dari SANS 4. Snort, mendeteksi pola (pattern) pada paket
yang lewat dan mengirimkan alert jika pola tersebut terdeteksi. Pola-pola atau rules disimpan dalam berkas yang disebut library yang dapat dikonfigurasi sesuai dengan kebutuhan. Intrusion Detection system dapat dikategorikan sebagai berikut:
a. Network Intrusion Detection System (NIDS) : melakukan analisa trafik yang lewat pada seluruh subnet. Bekerja dalam mode promiscous, dan menyesuaikan trafik yang lewat pada subnet dengan pola-pola yang ada dalam library. Apabila sebuah serangan (attack) terdeteksi / teridentifikasi, atau abnormal behavior dirasakan, maka ia akan mengirimkan alert ke administrator (memberitahukan adaministrator tentang keadaan gangguan yang terjadi). Sebagai contoh : NIDS dapat di instal pada subnet dimana firewall ditempatkan, untuk melihat seseorang yang mencoba untuk mendobrak masuk melalui firewall.
b. Network Node Intrusion Detection System (NNIDS) : menganalisa traffic yang lewat dari network ke host tertentu. Perbedaan NIDS dan NNIDS adalah traffic yang dimonitor hanya pada sebuah host saja dan tidak untuk seluruh subnet. Sebagai contoh, NNIDS dapat di-instal pada VPN device sehingga dapat dilihat bila seseorang mencoba mendobrak masuk ke VPN device.
Host Intrusion Detection System (HIDS) : mengambil potret dari file-file yang ada pada sistem dan mencocokkannya (mattching) dengan potret yang sebelumnya. Jika file-file sistem yang penting di modifikasi atau dihapus, HIDS akan memberitahukan administrator untuk melakukan penyelidikan (investigate).
2.3 IPS (Intrusion Prevention System) Intrusion Prevention System (IPS) adalah
sebuah aplikasi yang bekerja untuk monitoring traffic jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan dini terhadap intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak seperti sebagaimana mestinya. Bisa jadi karena adanya serangan dari luar, dan sebagainya. Produk IPS sendiri dapat berupa perangkat keras (hardware) atau perangkat lunak (software). Secara umum, ada dua jenis IPS, yaitu Host-based Intrusion Prevention System (HIPS) dan Network-based Intrusion Prevention System (NIPS). a. Host-based Intrusion Prevention
System (HIPS) adalah sama seperti halnya Host-based Intrusion Detection System (HIDS). Program agent HIPS diinstall secara langsung di sistem yang diproteksi untuk dimonitor aktifitas sistem internalnya. HIPS di binding dengan kernel sistem operasi dan services sistem operasi. Sehingga HIPS bisa memantau dan menghadang system call yang dicurigai dalam rangka mencegah terjadinya intrusi terhadap host. HIPS juga bisa memantau aliran data dan aktivitas pada applikasi tertentu. Sebagai contoh HIPS untuk mencegah intrusio pada webserver misalnya. Dari sisi security mungkin solusi HIPS bisa mencegah datangnya ancaman terhadap host. Tetapi dari sisiperformance, harus diperhatikan apakah HIPS memberikan dampak negatif terhadap performance host. Karena menginstall dan binding HIPS pada sistem operasi mengakibatkan penggunaan resource komputer host menjadi semakin besar.
b. Network-based Intrusion Prevention System (NIPS) tidak melakukan pantauan secara khusus di satu host saja. Tetapi melakukan pantauan dan proteksi dalam satu jaringan secara global. NIPS menggabungkan fitur IPS dengan firewall dan kadang disebut sebagai In-Line IDS atau Gateway Intrusion Detection System(GIDS). Sistem kerja IPS yang populer
5
yaitu pendeteksian berbasis signature, pendeteksian berbasis anomali, dan monitoring berkas-berkas pada sistem operasi host.
c. Sistematika IPS yang berbasis signature adalah dengan cara mencocokkan lalu lintas jaringan dengan signature database milik IPS yang berisi attacking ruleatau cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama halnya dengan antivirus, IPS berbasis signature membutuhkanupdate terhadap signature database untuk metode-metode penyerangan terbaru. IPS berbasis signature juga melakukan pencegahan terhadap ancaman intrusi sesuai dengan signature database yang bersangkutan.
d. Sistematika IPS yang berbasis anomali adalah dengan cara melibatkan pola-pola lalu lintas jaringan yang pernah terjadi. Umumnya, dilakukan dengan menggunakan teknik statistik. Statistik tersebut mencakup perbandingan antara lalu lintas jaringan yang sedang di monitor dengan lalu lintas jaringan yang biasa terjadi (state normal). Metode ini dapat dikatakan lebih kaya dibandingkan signature-based IPS. Karena anomaly-based IPS dapat mendeteksi gangguan terhadap jaringan yang terbaru yang belum terdapat di database IPS. Tetapi kelemahannya adalah potensi timbulnya false positive, yaitu pesan/log yang belum semestinya dilaporkan. Sehingga tugas Network Administratormenjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
e. Teknik lain yang digunakan adalah dengan cara melakukan monitoring berkas-berkas sistem operasi pada host. IPS akan melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini diimplementasikan dalam IPS jenis Host-based Intrusion Prevention System (HIDS). Teknik yang digunakan IPS untuk mencegah serangan ada dua, yaitu sniping dan shunning. 1. Sniping: memungkinkan IPS untuk
menterminasi serangan yang dicurigai melalui penggunaan paket TCP RST atau pesan ICMP Unreachable.
2. Shunning: memungkinkan IPS mengkonfigurasi secara otomatis firewall untuk drop traffic berdasar apa yang dideteksi oleh IPS. Untuk kemudian melakukan prevention terhadap koneksi tertentu.
2.4 Firewall
Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan internal, Informasi yang keluar atau masuk harus melalui firewall ini. Tujuan utama dari firewall adalah untuk menjaga (prevent) agar akses (ke dalam maupun ke luar) dari orang yang tidak berwenang (unauthorized access) tidak dapat dilakukan.
Konfigurasi dari firewall bergantung kepada kebijaksanaan (policy) dari organisasi yang bersangkutan, yang dapat dibagi menjadi dua jenis: Apa-apa yang tidak diperbolehkan secara eksplisit dianggap tidak diperbolehkan (prohibitted), Apaapa yang tidak dilarang secara eksplisit dianggap diperbolehkan (permitted). Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang melewatinya. Berdasarkan konfigurasi dari firewall maka akses dapat diatur berdasarkan IP address, port, dan arah informasi. Detail dari konfigurasi bergantung kepada masing-masing firewall.
Firewall dapat berupa sebuah perangkat keras yang sudah dilengkapi dengan perangkat lunak tertentu, sehingga pemakai (administrator) tinggal melakukan konfigurasi dari firewall tersebut. Firewall juga dapat berupa perangkat lunak yang ditambahkan kepada sebuah server (baik UNIX maupun Windows NT), yang dikonfigurasi menjadi firewall. Dalam hal ini, sebetulnya perangkat komputer dengan prosesor Intel 80486 sudah cukup untuk menjadi firewall yang sederhana. Firewall biasanya melakukan dua fungsi; fungsi (IP) filtering dan fungsi proxy. Keduanya dapat dilakukan pada sebuah perangkat komputer (device) atau dilakukan secara terpisah. Beberapa perangkat lunak berbasis UNIX yang dapat digunakan untuk melakukan IP filtering antara lain: ipfwadm: merupakan standar dari sistem Linux yang dapat diaktifkan pada level kernel , ipchains: versi baru dari Linux kernel packet filtering yang diharapkan dapat menggantikan fungsi ipfwadm Fungsi proxy dapat dilakukan oleh berbagai software tergantung kepada jenis proxy yang dibutuhkan, misalnya web proxy, rlogin proxy, ftp proxy dan seterusnya Di sisi client sering kali dibutuhkan software tertentu agar dapat menggunakan proxy server ini, seperti misalnya dengan menggunakan SOCKS.
Beberapa perangkat lunak berbasis UNIX untuk proxy antara lain: Socks: proxy server oleh NEC Network Systems Labs , Squid: web proxy server. Serangan (attack) yang dilakukan intruder dapat digolongkan kepada yang sangat berbahaya (dapat menimbulkan kerusakan dan
6
kerugian) sampai ke yang hanya mengesalkan (annoying). Berdasarkan tujuan yang ingin dicapai oleh intruder, maka intruder dapat dibedakan antara lain sebagai berikut : 1. Currious : yaitu intruder yang pada dasarnya
hanya ingin mengetahui sistem dan data yang ada pada suatu jaringan komputer yang dijadikan sasaran.
2. Malicious: intruder yang dapat mengakibatkan sistem jaringan komputer menjadi down, atau mengubah tampilan situs web, atau hanya ingin membuat organisasi pemilik jaringan computer sasaran harus mengeluarkan uang dan waktu untuk memulihkan jaringan komputernya.
3. The High-Profile Intruder: Intruder yang berusaha menggunakan sumber daya (resources) di dalam sistem jaringan komputer untuk memperoleh popularitas.
4. Competetion: intruder yang ingin tahu apa yang ada di dalam jaringan komputer sasaran untuk selanjutnya dimanfaatkan untuk mendapat uang
2.5 NMS Server NSM Server adalah software yang me-manage
system resources dan data yang mengontrol fungsi-fungsi IDP. NSM Server memusatkan semua log, reporting, data, dan security policy management untuk IDP system. Semua objects, security policy, dan log disimpan di dalam database Management Server dan diadministrasi menggunakan User Interface (UI). NSM Server melakukan fungsi sebagai berikut: a. Sentralisasi management dari enterprise security
policies b. Mengkonsolidasikan logs dari Sensors yang berbeda
dalam single repository c. Memudahkan dalam managemen signature dan
protocol anomaly Attack Object d. Menyediakan kemampuan untuk multiple users
untuk berhubungan dengan Sensors Memanage beberapa Sensors
2.6 User Interface (UI) User Interface (UI) adalah software yang menyediakan powerful graphical environment untuk memanage IDP secara sentralisasi. UI menggunakan java-based software application yang dapat diinstall di multiple computers. Walaupun UI mensupports multiple users, dalam satu waktu hanya satu user yang dapat memegang control dari Management Server. Hal ini untuk mengurangi masalah synchronization atau data loss. UI terdiri dari 7 komponen: - Dashboard - Log Viewer - Security Policy Editor
3 ANALISIS KEBUTUHAN DAN PERANCANGAN 3.1 Arsitektur Jaringan Berikut akan dibahas mengenai konfigurasi arsitektur secara global dari proyek pengadaan dan pemasangan Intrusion Detection and Prevention System (IDP). Peninjauan kondisi jaringan existing:
a. Menggunakan Intrusion Prevention System (IPS) Proventia G400CF dengan 3 firewall yang masing-masing langsung terkoneksi ke cisco switch,
b. Menggunakan 2 firewall melalui redundant link dan langsung ke cisco router sehingga memungkinkan user tertentu bisa akses langsung ke public internet tanpa melalui perangkat IPS. Kekurangan: a. Dalam hal keamanan dinilai kurang karena
penanganan untuk segi keamanan tidak menyeluruh semua user, sedangkan efisiensi biaya investasi dan pengoperasian perangkat jelas tidak efisien dengan 4 cisco switch dan 3 firewall.
Sebagai improvement topology:
1. Akan diimplementasikan IDP dengan fungsi High Availability sehingga apabila salah satu IDP atau link tidak berfungsi masih bisa di backup dengan IDP atau link redundancy-nya.
2. Menggunakan 1 firewall ke server farm sehingga lebih efisien di sisi investasi dan kompleks di sisi keamanan dengan mencakup semua user yang terkoneksi.
Analisa Kebutuhan 3.2.1 IDP Sensor A .Tipe
IDP sensor yang akan diinstall adalah IDP sensor tipe IDP-800
Gambar 3.3 Perangkat IDP 800
IDP-800 memiliki spesifikasi perangkat sebagai berikut :
Ten RJ-45 Ethernet 10/100/1000 Network port (2 RJ-45 included + 8 optional RJ-45)
One Serial Console port
Throughput up to 1 Gbps
Session up to 1 Million
7
Two Storage hard drive capacity74 GB
Penomoran Port pada IDP-800
Gambar 3.4 Penomoran port IDP 800
B. Mode Deployment IDP
1. Inline Dalam deployment IDP ini, Juniper IDP akan
diposisikan secara in-line, artinya semua traffic yang menuju server farm switch harus melewati IDP.
Dengan model konfigurasi ini, Juniper IDP akan memeriksa setiap paket yang masuk dan keluar dari server farm switch. Ketika Juniper IDP mendeteksi adanya malicious traffic, maka trafic tersebut langsung didrop sehingga tidak akan pernah masuk ke network.
2. Transparent mode Transparent mode adalah metode yang akan
dipakai dalam in-line deploymen ini. Dengan mode ini IDP beroperasi sebagai sebuah transparent bridge di dalam network dan tidak memerlukan IP address pada proses forwarding interfaces. Dengan mode ini, IDP membuat keputusan dalam melakukan forward traffic berdasarkan destination MAC address.Dengan transparent mode ini, IDP diinstal ke dalam network tanpa merubah IP address Network, seperti merubah routing atau default gateway. Manfaat Transparent mode adalah:
dapat merespon dan mendeteksi attack dengan baik tanpa mempengaruhi performance network
simple dan transparan bagi user
melewatkan Layer-2 broadcast
tidak ada perubahan routing table pada perangkat network
dapat melakukan forward non-IP traffic 3.2.2 NMS (Network Management System)
Pengadaan hardware untuk diimplementasikan sebagai NSM server tidak termasuk dalam proyek
ini, melainkan menggunakan perangkat existing. Sedangkan Software NSM Server ini sifatnya gratis setiap untuk setiap pembelian perangkat Juniper IDP. A. NMS Server Untuk mengatur 2 unit Juniper IDP, maka terdapat minimal requirement dari spesifikasi NSM Server untuk Installlasi GUI server dan Device Server dalam satu fisik server, yaitu :
NSM Client adalah software yang digunakan untuk mengakses NSM Server. Berikut adalah spesifikasi minimum perangkat yang harus dimiliki agar dapat menjalankan software NSM Client.
Operating System
Microsoft Windows XP, NT 4.0 Service Pack 6a or higher, Windows 2000 Server or Professional.
Red Hat Enterprise Linux ES/AS 4 (Minimal and Full Install, US English versions only)
CPU 400MHz Pentium® II or equivalent
RAM 256MB
Network Connection
384kbps (DSL) or LAN connection
3.2.3 Sarana Penunjang A. Denah Penempatan Perangkat
8
A C R a c k s
R a c k s
R a c k s
R a c k s
R a c k sR a c k sA C
A C
R a c k s
R a c k s
R a c k s
A C
R a c k s
R a c k s
R a c k s
R a c k s
R a c k s R a c k s
A C
R a k J u n ip e r I D P 8 0 0
R a k C is c o S w it c h 6 5 1 3
R a k C is c o R o u t e r 7 6 0 6
P a t c h c o r d M M L C - L C
C a b le T r a y
L e g e n d
Gambar 3.5 Denah Penempatan Perangkat
B. Space rack
Space rack yang dibutuhkan untuk setiap IDP800 Sensor adalah : 2 U (3.4 inch)
C. Bayface IDP 800-1
IDP 800-2
D. AC Power
Spesifikasi kebutuhan input power adalah sbb:
Dibutuhkan 2 power outlet untuk masing-masing perangkat Juniper IDP-800 yang ada, sehingga total power outlet untuk 2 unit Juniper IDP-800 adalah 4 power outlet.
4 IMPLKEMENTASI DAN PENGUJIAN 4.1 Prosedure Implementasi
Setelah meninjau desain jaringan maka dilanjutkan dengan proses instalasi. Dalam implementasi Juniper IDP ada 7 langkah yang harus dilakukan. Setiap langkah harus berhasil sebelum melanjutkan ke langkah berikutnya. Untuk langkah 7 yang dapat
dilakukan setelah seluruh IDP sensor terinstal. Langkah-langkah tersebut adalah: 1. instalasi IDP Sensor 2. Konfigure NSM Server untuk memanage IDP
sensor 3. Mengatur Sensor dalam kondisi security
policy default 4. Migrasi Link antar Cisco Router 7606 ke IDP
Sensor 5. Monitor log di NSM Server 6. Edit Security policy untuk drop packet 7. Update Signature di setiap IDP sensor.
Dengan mengikuti prosedur ini, maka downtime dari network hanya terjadi pada langkah 4. Estimasi downtime langkah sekitar 10 menit. Downtime pada langkah 4 tergantung pada kecepatan pemindahan koneksi link baru dari IPS eksisting ke Juniper IDP-800 serta proses MAC Address learning di Juniper IDP-800. Berikut ini adalah detail prosedur masing-masing langkah tersebut
4.1.1 Instalasi IDP Sensor Prosedur secara ringkas
a) memeriksa kelengkapan perangkat b) memasang perangkat pada Rak c) menghubungkan dengan fiber optik d) konfigurasi IDP sesuai aturan dari ACM e) setting parameter f) test koneksi
4.1.2 Proses Konfigurasi NMS Server Prosedur secara ringkas
a) test koneksi dari UI (User Interface) ke IDP management server
b) test koneksi dari Management Server ke IDP sensor
c) menjalankan aplikasi UI dan login sebagai admin d) penggabungan IDP sensor e) IDP management mengatur IDP sensor
4.1.3 Mengatur Sensor dalam kondisi Default security policy Tujuan : Memastikan bahwa IDP sensor terinstall dengan security policy default (tidak ada traffic yang didrop, hanya di log)
Prosedur a) menjalankan aplikasi UI dan login sebagai admin b) memeriksa strategi keamanan yang ada (default
security policy) c) menerapkan default security policy pada IDP
sensor 4.1.4 Migrasi Link antar Cisco 7606, Server Farm Switch
dan IDP Sensor 4.1.6 Edit Security policy untuk drop packet
2U
3.4
inch
Standard 19 inch Rack
9
4.1.7 Update Signature ke IDP Sensor 4.2 Setting Paramater Sensor IDP 800 4.2.1 Password 4.3 Metode Deployment IDP sensor
Metode Deployment yang digunakan adalah Transparent Mode
4.3.1 Alokasi Port 4.3.2 IP Addressing 4.3.3 IP Address NSM Server 4.3.4 SSH Access
SSH Access adalah metode access ke console sensor secara remote. Jika SSH access akan diaktifkan maka diperlukan pembatasan IP Address atau network yang dapat mengakses, sebagai contoh hanya dari NSM.
4.4 Setting NMS 4.4.1 NSM Server 4.4.2 User Account
4.5.3 Delete Vlans [edit] root# delete system name-server [edit] root# delete system services web-management [edit] root# delete system services dhcp [edit] root# delete interfaces interface-range interfaces-trust [edit] root# delete vlans vlan-trust [edit] root# set system root-authentication plain-text-password new password: lab123 retype new password: lab123
4.5.4 Membuat Security Forwarding
- [edit] root# set security forwarding-options family mpls mode packet-based
- [edit] root# set system host-name IDP1-ISPO.TELKOM.CO.ID
4.5.5 Membuat VLAN Management
- [edit] root# Set Vlans management vlan-id 10 root# Set Vlans management l3-interface vlan.10
4.5.6 Set Interface LAN
- [edit]
root# set interfaces vlan unit 10 family inet addres xxxxx
10
4.5.7 Membuat Interface Fe 0/0/xx
[edit] root# set interfaces fe-0/0/0 unit 0 family ethernet-switching port-mode access vlan members management root# set interfaces fe-0/0/1 unit 0 family ethernet-switching port-mode access vlan members management root# set interfaces fe-0/0/2 unit 0 family ethernet-switching port-mode access vlan members management root# set interfaces fe-0/0/3 unit 0 family ethernet-switching port-mode access vlan members management root# set interfaces fe-0/0/4 unit 0 family ethernet-switching port-mode access vlan members management root# set interfaces fe-0/0/5 unit 0 family ethernet-switching port-mode access vlan members management root# set interfaces fe-0/0/6 unit 0 family ethernet-switching port-mode access vlan members management root# set interfaces fe-0/0/7 unit 0 family ethernet-switching port-mode access vlan members management
4.5.8 Membuat User Login
- [edit]
root# set system login class super-user-local permissions all
- [edit] root# set system login user lab class super-user-local uid 2000 authentication plain-text-password
- [edit] root# New password: lab123
- [edit] root# Retype new password: lab123
4.5.9 Membuat VLAN Id
- [edit]
root# set interfaces fe-0/0/7 unit 0 family ethernet-switching native-vlan-id 10
4.5.10 Membuat IP Gateway
- [edit]
root# set routing-options static route 0.0.0.0/0 next-hop xxxxxx root#exit
4.6 Hasil Pengujian 4.6.1 Hasil Pengujian Konfigurasi Juniper IDP 800
[edit] root@ IDP1-ISPO.TELKOM.CO.ID # show ## Last changed: 2010-07-19 13:40:06 UTC version 10.0R1.8; system { host-name IDP1-ISPO.TELKOM.CO.ID; root-authentication { encrypted-password "$1$RJToixI/$GHOb8SlgMi8/xOUsDE..9."; ## SECRET-DATA } login { class super-user-local { permissions all; } user lab { uid 2000; class super-user-local; authentication { encrypted-password "$1$Gnx.0cDj$S2c/52olD6cTnIyaO.oJ31"; ## SECRET-DATA } } } services { ssh; telnet; } syslog { archive size 100k files 3; user { any emergency; } file messages { any critical; authorization info; } file interactive-commands { interactive-commands error; } } max-configurations-on-flash 5; max-configuration-rollbacks 5; license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; } } } interfaces {
security
forwarding
user login
11
fe-0/0/0 { unit 0 { family ethernet-switching { port-mode access; vlan { members management; } } } } fe-0/0/1 { unit 0 { family ethernet-switching { port-mode access; vlan { members management; } } } } fe-0/0/2 { unit 0 { family ethernet-switching { port-mode access; vlan { members management; } } } } fe-0/0/3 { unit 0 { family ethernet-switching { port-mode access; vlan { members management; } } } } fe-0/0/4 { unit 0 { family ethernet-switching { port-mode access; vlan { members management; } } } } fe-0/0/5 { unit 0 { family ethernet-switching { port-mode access; vlan {
members management; } } } } fe-0/0/6 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members [ all management ]; } native-vlan-id 100; } } } fe-0/0/7 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members [ all management ]; } native-vlan-id 100; } } } vlan { unit 100 { family inet { address ……………….. ; } } } } routing-options { static { route 0.0.0.0/0 next-hop ………………… ; } } security { forwarding-options { family { mpls { mode packet-based; } } } } vlans { management { vlan-id 100; l3-interface vlan.100; }
VLAN id
12
} 4.6.2 Pengujian dengan PING Juniper IDP 800
root@ IDP1-ISPO.TELKOM.CO.ID > ping .................... PING .................... (....................): 56 data bytes 64 bytes from ....................: icmp_seq=0 ttl=64 time=18.637 ms 64 bytes from ....................: icmp_seq=1 ttl=64 time=5.695 ms 64 bytes from ....................: icmp_seq=2 ttl=64 time=6.054 ms 64 bytes from ....................: icmp_seq=3 ttl=64 time=6.539 ms 64 bytes from ....................: icmp_seq=4 ttl=64 time=5.915 ms 64 bytes from ....................: icmp_seq=5 ttl=64 time=6.149 ms 64 bytes from ....................: icmp_seq=6 ttl=64 time=5.657 ms 64 bytes from ....................: icmp_seq=7 ttl=64 time=6.019 ms 64 bytes from ....................: icmp_seq=8 ttl=64 time=6.817 ms 64 bytes from ....................: icmp_seq=9 ttl=64 time=6.026 ms ^C --- .................... ping statistics --- 10 packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max/stddev = 5.657/7.351/18.637/3.777 ms
4.6.3 Hasil Pengujian System Alarm
root> show system alarms 1 alarms currently active Alarm time Class Description 2010-04-05 11:11:32 UTC Minor Rescue configuration is not set root> request system configuration rescue save root> show system alarms No alarms currently active root>exit root%exit
5 Penutup 5.1 Kesimpulan
a. Instalasi Juniper IDP800 telah dilakukan sesuai
keinginan hal ini dapat dilihat dari hasil pengujian
dimana parameter yang diuji terbukti terpenuhi.
b. Penerapan Intrusion Detection and prevention
system (IDP) dengan perangkat IDP800
merupakan salah satu solusi untuk pencegahan
dan keamanan suatu jaringan.
5.2 Saran
Sebaiknya menggunakan juniper untuk perangkat
jaringan karena juniper merupakan pioneer
technology ASIC (Application-Specific Integrated
Circuit) yang sekarang ini menjadi standard untuk core
router.
REFERENSI
1. Abraham Nethanel Setiawan Junior, Agus Harianto,
Alexander (2009). “Perancangan dan Implementasi
Intrusion Detection System pada Jaringan Nirkabel
BINUS University”. 23506011, 1-15
2. Northcutt, Stephen "Network Intrusion Detection“,
New Riders, 1999
3. Paez, Rafael et.al, “Cooperative Itinerant Agents
(CIA): Security Scheme for Intrusion Detection
Systems”, International Conference on Internet
Surveillance and Protection (ICISP’06), 2006.
4. Juniper Network, Inc. December 2008 Installation
Guide, Intrusion Detection and Prevention IDP 8200